公立はこだて未来大学の教務システムにおいて、学生や教職員の個人情報が不正に閲覧と取得が可能な状態であったことが判明した。
原因は、教務システムパッケージの脆弱性によるもので、委託業者が構築した教務システムと連携するアプリ開発の過程で発覚している。
具体的にはログイン権限を持つユーザーが、特定のURLを直接指定してウェブブラウザで呼び出すことで、閲覧権限のないユーザーでも情報を閲覧できるというものだったという。
閲覧可能となっていた情報として、教職員情報(教職員コード、教職員名)488件、卒業生情報(学籍番号、漢字氏名)6,120件、学納金納付者情報(納付者名、納付者番号)11,425件、入試合格者学納金納付者情報(納付者番号、受験番号、受験者漢字氏名、入学年度)最大100件がそれぞれ挙げられている。
大学側は直ちにアクセス制限と教務システムの改修を実施。
今後は定期的なシステムの評価・検証を行い、情報セキュリティの確保を強化する体制を構築することが説明されており、委託業者や大学内部に対して情報セキュリティに関する教育と周知を進めて再発防止を図るとされている。
【参考記事】
学生・教職員の氏名及び学籍番号が閲覧可能状態にあったことについて
https://www.fun.ac.jp/
